bet356体育在线(亚洲版)官方网站SecOps警报过载如何有效缓解告警疲

　　bet356体育在线(亚洲版)官方网站SecOps警报过载如何有效缓解告警疲如今，安全运营团队（SOCs）正受到本应帮助他们的机制的攻击。最近的一项行业研究揭示了一些令人震惊的事实：

　　不出所料，绝大多数人员（80%）反馈，他们使用的手动流程已经影响到工作效率，这一现象揭示了当前主要问题：警报过于频繁，而且其中不少是无效的报警，以及没有精简流程帮助 SOC 解决问题。

　　自动化和增强技术的需求得到了广泛认可，因为当前的威胁超出了安全团队处理的能力。我们已经到了一个不合理的地步，即所有安全运营完全由人力驱动是不合理的。随着SaaS应用和公有云使用的普及，IT基础设施不断扩张，勒索软件在漏洞利用后的几天内而不是几周内部署。同时，安全设备生成的遥测数据量不断增加，分析师常常面临海量的警报信息。这些因素都要求我们采用自动化技术来提升应对威胁的能力。

　　此外，找到更有效的方法来减少警报是提高安全运营效率的关键，同时也确保在竞争激烈的网络安全职业环境中留住人才。

　　别忘了最明显的后果之一：企业未能得到有效保护。当SOC在繁忙的工作中选择处理的警报时（有时甚至不确定哪些是最重要的），于是便留下巨大的工作盲点。如果明天发生了数据泄露，而你没能及时处理这个警报，潜在的灾难是无穷无尽的。

　　那么，如何防止这种流血呢？为了避免警报被遗忘、忽视、置之不理或丢失，正确的组织至关重要，这是人类单独无法完成的工作。以下是一些策略，可以将警报的负担转移到功能强大的技术上，同时将我们宝贵的专家保留在真正需要他们的地方。

　　虽然目前许多工具和服务都提供自动威胁检测（因此产生大量警报），但可以以不同的方式应用自动化来实现更特定的目标。今天的大多数工具都可以映射到 MITRE ATT&CK 战术库，但有时需要更多的定制化。例如，利用引导性提示，大语言模型可以用来构建更为精确的规则内容，比如ChatGPT的生成式AI，当提示词的自定义程度越高时，结果就会变得越精确和具体，这样就能减少混乱无序的警报，使警报更加精准集中。

　　采用人工智能（AI）和机器学习（ML）技术是另一种减少警报疲劳的方法。以扩展检测与响应（XDR）解决方案为例，利用AI驱动的自动化工具可以自动执行调查流程，筛选出潜在的误报案例，而将剩下的需要人工分析的任务留给专业团队处理。这样不仅能提高效率，还能确保重要信息不被遗漏。

　　然而，这些强大的查找功能也可能导致问题，因为一旦企业被搜索，可能会有太多的异常需要筛选。解决方案是更好地确定您拥有的警报的优先级，而警报调整可以帮助实现这一点。

　　为了设定关键报警的优先级，SOCs需要调整警报阈值，确保这些设置既足够灵敏又不会触发无关警报。虽然这看起来像是一门艺术，但调整警报并不应该是一场充满猜测和检查的复杂游戏。实际上，它本不该如此。

　　以历史数据为依据而非依赖直觉，我们应关注的是这类警报所引发的实际威胁与误报的比例。因此，我们需要对警报系统进行相应的调整。

　　设定明确的指标是关键。这些指标将自动提示您何时可以转入生产环境，让规则成为您的助手，避免每次都要做出新的决策（因为频繁的决策也可能是一种风险）。

　　将调整工作集中在剔除很少产生真正阳性的警报上。通过逐个剔除这些能量沙坑，你的团队将逐步有更多的时间投入到重要的事情上。

　　1）这种检测类型能否单独识别威胁，还是后面在杀伤链中标记它（当另一个警报更早地标记它时）？你一定不希望出双重告警亚洲bet356体育在线官网。

　　2）您的规则是否简化？“失控”警报可能由模糊或影响太深的规则触发，这些规则会导致不必要的通知。

　　3）这个警告是否有确凿的证据？尽管不能完全排除这种可能性，但建议优先考虑那些已证实的告警，，然后以此为基础进行扩展。

　　我们当然生活在信息时代亚洲bet356体育在线官网，但具有讽刺意味的是，太多的信息正在拖累安全运营团队亚洲bet356体育在线官网，并削弱我们的自我保护能力。几年前，讨论可能取决于 “数量和实时性”，而今天的对话现在集中在弄清楚哪些警报是重要的，哪些是要淘汰的。套用皮克斯电影《超人总动员》中的一句台词，“当每件事都是特别的时候，就没有一件事是特别的”。然而，大部分淘汰过程需要人工决策。

　　在这一点上，国际公认的网络安全架构师和倡导者 Ali Hader ：“自动化的系统应被视为辅助而非完全替代分析师的工具。因此，人工监督对于解释警报、调查潜在威胁和做出明智的决策至关重要。”

　　各安全运营团队成员可以通过运用自动化技术、大模型、先进的机器学习与人工智能分析工具，结合合理的警报筛选策略，来提升个人技能水平，从而更有效地捕捉关键信息。